- Adobe 기업 및 팀: 관리 안내서
- 배포 계획 수립
- 기본 개념
- 배포 안내서
- Creative Cloud for education 배포
- 조직 설정
- ID 유형 | 개요
- ID 설정 | 개요
- Enterprise ID로 조직 설정
- Azure AD 페더레이션 및 동기화 설정
- Google Federation 및 동기화 설정
- Microsoft ADFS로 조직 설정
- 학군 포털 및 LMS에 대한 조직 설정
- 기타 ID 공급자로 조직 설정
- SSO 일반적인 질문 및 문제 해결
- 조직 설정 관리
- 사용자 관리
- 제품 및 권한 관리
- 제품 및 제품 프로필 관리
- 공유 디바이스 라이선스 관리
- 제품 및 제품 프로필 관리
- Global Admin Console 시작하기
- 스토리지 및 자산 관리
- 스토리지
- 자산 마이그레이션
- 사용자로부터 자산 회수
- 학생 자산 마이그레이션 | EDU 전용
- 서비스 관리
- Adobe Stock
- 맞춤형 글꼴
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud for enterprise - 무료 멤버십
- 앱 및 업데이트 배포
- 개요
- 패키지 제작
- 패키지 맞춤화
- 패키지 배포
- 업데이트 관리
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager(RUM)
- 문제 해결
- 팀 계정 관리
- 갱신
- 계약 관리
- 보고서 및 로그
- 지원 요청
Adobe Admin Console은 기업 사용자가 SSO(Single Sign-On)가 활성화된 ID 관리 시스템과의 통합을 통해 기존 ID 관리 시스템을 사용하여 Adobe 기업 혜택에 대해 인증하는 방법을 제공합니다. Single Sign-On은 Enterprise ID 관리 시스템을 Adobe와 같은 클라우드 서비스 제공자에게 연결하는 산업 표준 프로토콜인 SAML을 통해 활성화됩니다. SSO를 통해 서비스 제공자(Adobe)와 ID 공급자(IdP) 간 인증 정보가 안전하게 교환됩니다. 서비스 제공자는 사용자의 IdP로 요청을 전송하여 해당 사용자에 대한 인증을 시도합니다. 인증 후 IdP는 사용자가 로그인하도록 응답 메시지를 전송합니다. 자세한 내용은 SSO(Single Sign-On) 구성을 참조하십시오.
계획
Adobe는 다음과 같은 ID 유형을 제공합니다.
- Enterprise ID: 조직이 계정을 만들고 보유합니다. 요청한 도메인에서 계정이 생성됩니다. Adobe가 로그인 자격 증명과 프로세스를 관리합니다.
- Federated ID: 조직이 계정을 만들고 보유, 연합을 통해 기업 디렉터리와 연결, 기업 또는 학교가 SSO(Single Sign-On)를 통해 로그인 자격 증명과 프로세스를 관리합니다.
- Adobe ID: 사용자가 계정을 만들고 보유합니다. Adobe가 로그인 자격 증명과 프로세스를 관리합니다. 스토리지 모델에 따라 사용자 또는 조직이 계정이나 자산을 소유합니다.
Adobe ID 사용자가 기업 스토리지 및 기타 기업 수준의 기능을 사용할 수 있도록 조직(팀 또는 기업)을 기업 스토리지 모델로 업데이트하고 있습니다.
조직의 업데이트가 예약되면 알림을 받을 수 있습니다. 업데이트 후 Adobe ID 사용자는 기업 스토리지로 이동되며 조직은 해당 비즈니스 프로필을 직접 제어할 수 있습니다.
예. Enterprise ID, Federated ID 및 Adobe ID를 혼합할 수 있지만 동일한 요청 도메인 내에서는 불가합니다.
Enterprise ID 및 Federated ID는 도메인 수준에서 단독으로 사용됩니다. 따라서 둘 중 하나만 선택할 수 있습니다. Adobe ID는 Federated ID 또는 Enterprise ID와 함께 사용할 수 있습니다.
예를 들어 기업이 단 하나의 도메인만 요청한 경우, IT 관리자는 Enterprise ID 또는 Federated ID를 선택할 수 있습니다. 조직이 기업 내에서 여러 도메인을 요청한 경우, IT 관리자는 하나의 도메인을 Adobe ID와 Enterprise ID로 사용하고 다른 도메인을 Adobe ID와 Federated ID로 사용하는 식으로 운영할 수 있습니다. 즉, 각각의 도메인에 대해 Adobe ID와 함께 Enterprise ID 또는 Federated ID를 사용할 수 있습니다.
Federated ID로 Adobe 라이선스를 관리하면 더욱 빠르고 간편하며 안전합니다.
- IT 관리자가 인증과 사용자 라이프사이클을 제어합니다.
- 기업 디렉터리에서 사용자를 제거하면 해당 사용자에게는 더 이상 데스크탑 앱, 서비스 또는 모바일 앱을 이용할 권한이 없습니다.
- Federated ID를 통해 조직은 기존의 사용자 ID 관리 시스템을 활용할 수 있습니다.
- 최종 사용자가 조직의 표준 ID 시스템을 사용하므로 IT 관리자는 별도의 암호 관리 프로세스를 관리할 필요가 없습니다.
로그인 시 최종 사용자는 조직에서 일반적으로 사용하는 익숙한 SSO(Single Sign-On) 환경으로 리디렉션됩니다.
예. 동일한 도메인을 사용하여 Enterprise에서 Federated ID로 전환할 수 있습니다. 자세한 내용은 디렉터리 간 도메인 이동 방법을 참조하십시오.
예. SAML 2.0 호환 ID 공급자를 통해 귀사의 디렉터리와 로그인 및 인증 인프라를 Adobe와 연합할 수 있습니다.
아니요. Federated ID에 대한 도메인을 요청해도 해당 도메인의 기존 Adobe ID와 이메일 주소는 변경되지 않습니다. Admin Console의 기존 Adobe ID도 그대로 유지됩니다.
자산 마이그레이션은 자동화 프로세스입니다. 이 프로세스를 시작하면 현재 Adobe ID 계정에 저장된 모든 지원되는 콘텐츠는 Enterprise/Federated ID 계정으로 마이그레이션됩니다. 자세한 내용은 자산 자동 마이그레이션을 참조하십시오.
Adobe의 Federated ID 구현은 권한 부여를 지원하며 인증은 사용자의 ID 공급자(IdP)에 의해 처리됩니다.
기업 조직은 액티브 디렉터리와 같은 회사 ID 구조를 활용하여 인증 서비스와 Adobe 간 링크를 만들 수 있습니다. 이를 통해 기업 조직은 인증을 호스팅할 수 있습니다. Adobe는 절대로 암호를 저장하지 않으며 IT 관리자가 Adobe Admin Console을 통해 Federated ID에 대한 암호나 사용자 이름을 재설정할 수 없습니다.
예. Adobe Admin Console의 사용자 가져오기 기능을 통해 가능합니다. 자세한 내용은 사용자 일괄 추가를 참조하십시오.
아니요. Adobe는 사용자의 ID 공급자와 관련되며 기업 디렉터리와는 직접적으로 관련되지 않습니다. 단, 기업 디렉터리에서 사용자 및 그룹 정보를 Adobe Admin Console로 가져오는 기능은 지원됩니다. 자세한 내용은 사용자 일괄 추가를 참조하십시오.
Adobe는 모든 기업 관리자가 Adobe ID 사용자를 Federated ID로 전환할 것을 권장합니다. 다음 단계를 통해 Adobe ID를 Federated ID로 마이그레이션할 수 있습니다.
Adobe는 보안 및 광범위하게 채택되는 산업 표준인 SAML(Security Assertion Markup Language)을 사용하며, 이는 SSO에 대한 구현이 SAML 2.0을 지원하는 다른 모든 ID 공급자와 쉽게 통합된다는 것을 의미합니다.
다음은 SAML 2.0을 지원하는 일부 IdP의 목록입니다.
- Okta
- Oracle Identity Federation
- Microsoft ADFS
- Microsoft Azure AD#
- Google 페더레이션#
- Ping Federate
- 외부에서 서명된 인증서를 보유한 Salesforce IdP
- CA Federation
- ForgeRock OpenAM
- Shibboleth
- NetIQ Access Manager
- OneLogin
- Novell Access Manager
#ID 공급자가 Microsft Azure AD 또는 Google이라면 SAML 기반 방식을 건너뛰고 Adobe Admin Console을 통해 Azure AD 커넥터 또는 Google 페더레이션 SSO를 사용하여 SSO를 각각 설정할 수 있습니다. 이들 설정은 Adobe Admin Console을 사용하여 수립되고 관리되며 동기화 메커니즘을 통해 사용자 ID와 권한을 관리합니다.
예. SAML 2.0 프로토콜을 따르는 한 가능합니다.
예. 또한 ID 공급자는 SAML 2.0과 호환되어야 합니다.
SAML ID 공급자 최소 요구 사항:
- IDP 인증서
- IDP 로그인 URL
- IDP 바인딩: HTTP-POST 또는 HTTP-Redirect
- IDP의 Assertion Consumer Service URL이 있어야 하며 SAML 요청 및 RelayState를 반드시 수용할 수 있어야 합니다.
추가 질문이 있는 경우 ID 공급자에게 문의하십시오.
아니요. 2048비트 인증서가 무력화된 사례는 한 번도 없습니다. 또한 768비트 인증서를 크래킹하는 데 성공한 유일한 조직(Lenstra 그룹)도 동일한 하드웨어를 사용하여 1024비트 인증서 크래킹에 성공하기 위해서는 무려 1,000년 이상 소요될 것으로 추정됩니다(2048비트 인증서에 대한 크래킹은 약 32,000,000배 더 어려움).
다양한 길이의 인증서에 대한 크래킹 시도와 관련된 추정치에 대한 흥미로운 최신 정보를 살펴보려면 이 웹 사이트를 방문해 보십시오. 이 웹 사이트(또는 그 뒤쪽의 수학식 웹 사이트)에는 이러한 인증서가 얼마나 안전한지를 보여 주는 재미있는(정확하지만 마케팅 지향적인) 그림도 함께 실려 있습니다.
양질의 상업용 2048비트 인증서를 연간 약 $10에 구매할 수 있습니다. 또한 IdP에서 사용하는 인증서는 자체 서명할 수 있으며, 이는 이들 인증서를 오픈 소스 소프트웨어를 통해 무료로 생성할 수 있음을 의미합니다.
아니요. IdP 인증서를 확인하는 다른 두 개의 강력한 암호화 레이어가 있으므로 IdP를 사칭하려면 이들 레이어도 크래킹해야 합니다. 아울러 이들 두 개의 레이어 모두 자체 서명되지 않습니다. 즉, 암호화를 실행하는 인증서뿐만 아니라 해당 인증서를 생성한 서명자의 인증서도 크래킹해야 합니다.
프리미엄 지원 전화번호 및 이메일 주소는 계정 관리자에게 전송된 시작 이메일과 PDF 첨부 자료를 참조하십시오.
동일한 URL 엔드포인트가 여러 디렉터리에 사용될 수 있습니다. 그러나 페더레이션 메타데이터는 각 IdP에 대해 별도로 관리됩니다. 따라서 공통 IdP 엔드포인트는 내용이 서로 다른 요청을 처리해야 합니다.
예. 디렉터리의 SAML 통합이 사용자 이름 포맷을 사용하면 Admin Console의 사용자 이름은 제공된 영구 ID와 동일합니다. 단, 이 경우 영구 ID는 사용자가 Admin Console에 동기화되는 시점에 사용 가능해야 합니다. 이는 일반적인 시나리오가 아니므로, 실제로는 NameID 요소에 대한 영구 포맷은 지원되지 않습니다.
아니요. NameID 요소 값은 Admin Console에서 사용자 이름으로 사용되며 NameQualifier는 무시됩니다.
예. Adobe는 SHA256 인증서를 지원합니다. 자세한 내용은 ID 설정을 참조하십시오.
예. 인증기관 서명 인증서를 Adobe 고객 지원 센터에 제공해 주시면 이를 업로드해 드립니다.
진행하려면 Admin Console에 로그인하고 지원 > 지원 요약으로 이동한 다음 사례 만들기를 클릭합니다. 자세한 내용은 지원 사례 생성 및 관리 방법을 참조하십시오.
기본적으로 Okta 인증서는 자체 서명됩니다. 예외적으로 (그리고 유료일 가능성이 있음) 공인 CA가 대신 서명한 인증서가 제공될 수 있습니다.
방법
Adobe 데스크탑 앱, 서비스 및 모바일 앱으로 SSO를 설정하는 방법에 대한 자세한 지침은 SSO(Single Sign-On) 구성을 참조하십시오.
아니요. Admin Console을 통해 최종 사용자에게 알림을 전송하는 기능은 지원되지 않습니다. 기업 고객은 사용자가 Adobe 소프트웨어 및 서비스로 SSO를 시작한 이후 공지사항을 배포해야 합니다.
아니요. 귀사의 디렉터리에서 사용자/ID를 제거하거나 비활성화해도 Adobe Admin Console에서 해당 사용자/ID가 자동으로 제거되거나 비활성화되지는 않습니다. 단, 해당 사용자는 더 이상 권한을 보유하지 않으며 Adobe Creative Cloud 데스크탑 앱, 서비스, 모바일 앱 또는 Acrobat 앱에 로그인할 수 없습니다. 해당 사용자/ID를 Admin Console에서 수동으로 제거해야 합니다.
예. Adobe Admin Console을 사용하여 사용자, 그룹 및 권한을 관리해야 합니다. 단, Admin Console에서 그룹을 생성하고 나면 사용자 및 그룹 정보를 모두 포함하는 CSV 파일을 업로드할 수 있다는 점을 참고하십시오. 이를 통해 사용자 계정을 만들고 대상 그룹에 배치할 수 있습니다.
아니요. Adobe Admin Console을 사용하여 Federated ID에 대한 암호를 재설정할 수 없습니다. Adobe는 사용자 자격 증명을 보관하지 않습니다. 사용자 관리는 ID 공급자를 통해 진행하십시오.
일반 질문: 디렉터리 설정
새 인증 공급자로 디렉터리 마이그레이션 및 더 이상 사용되지 않는 SAML 설정 업데이트와 관련된 질문에 대한 답변을 구하십시오.
시작하기 전에 다른 ID 공급자로 마이그레이션할 수 있도록
액세스 요구 사항을 충족하는지 확인하십시오. 또한 다음 사항을 고려하여 조직의 디렉터리를 간편하고 오류 없이 마이그레이션하시기 바랍니다.
- 관리자는 IdP 설정에서 새 SAML 앱을 제작하여 구성해야 합니다. 기존 앱을 편집하면 기존의 활성화된 구성을 재작성하고, 다운 타임을 유발하고, Adobe Admin Console에서 사용 가능한 IdP 사이를 전환하는 기능을 무효화하게 됩니다.
- 관리자는 필요한 사용자가 새로 생성된 SAML 앱에 할당되었는지 또는 해당 앱을 사용할 수 있는지 확인해야 합니다.
- 관리자는 IdP의 새 인증 프로필에 대한 사용자 이름 형식이 사용자 로그인에 대한 기존 프로필에서 사용하는 형식과 일치하는지 확인해야 합니다. 인증 프로필에 제공되는 테스트 기능을 사용하여 확인할 수 있습니다. 이 테스트 링크를 클립보드에 복사하여 다른 사용자와 공유하면 자신의 컴퓨터에서 유효성을 검사할 수 있습니다.
- 관리자는 활성화 이전에 2~3개의 활성 계정을 사용하여 새로 추가된 IdP를 테스트해야 합니다.
이들 기능에 대해 오류 로그를 사용할 수 없습니다. 단, 테스트 워크플로를 통해 관리자는 활성화 이전에 관련 오류의 유효성을 검사할 수 있습니다. 고려해야 할 제한 사항은 다음과 같습니다.
- 디렉터리 한 개에는 최대 두 개의 인증 프로필이 있을 수 있으며, 두 프로필은 모두 서로 다른 인증 유형에 사용해야 합니다. 즉, Microsoft Azure AD(Open ID Connect 사용)는 기타 SAML 공급자를 계속 사용할 수 있지만 Google(자체 SAML 사용)은 동일한 디렉터리에 있는 기타 SAML 공급자를 계속 사용할 수 없습니다.
- 관리자는 이 기능을 사용하여 디렉터리 동기화 기능(Azure AD 커넥터 및 Google 커넥터)을 활성화하기 위해 ID 공급자를 마이그레이션할 수 없습니다. 단, IdP로 Microsoft Azure 또는 Google로 마이그레이션하는 고객은 다른 형태의 사용자 관리 전략을 사용할 수 있습니다. 자세한 내용은 Adobe Admin Console 사용자를 참조하십시오.
